Однонаправленные шлюзы передачи данных

Снимок 1

Технология однонаправленной передачи данных существует уже довольно давно. Однако не все знают, как это работает и зачем такие технологии нужны. Поговорим о том. чем полезны однонаправленные шлюзы и какие они бывают

Современные межсетевые экраны давно вышли за рамки устройств, работающих на нижних уровнях иерархической модели OSI. Сейчас брандмауэры могут анализировать пакет вплоть до уровня приложений, они могут выполнять функции средств предотвращения вторжений, потоковых антивирусов, песочниц, систем DLP и других. По сути, межсетевой экран на достаточно мощной аппаратной платформе может с успехом выполнять функции всех сетевых средств защиты для сети небольшой или средней компании.

Однако в некоторых случаях даже самые мощные межсетевые экраны не могут на 100% гарантировать защищенность сетевых сегментов. Причин тому может быть несколько. В общем случае, так как на брандмауэрах используется программное обеспечение, существует теоретическая вероятность наличия ошибок в данном ПО и, как следствие, возможность эксплуатации данных уязвимостей. Впрочем, вероятность этих ошибок не такая уж теоретическая [1-3].

Однако более распространенными причинами компрометации межсетевых экранов и защищаемых ими ресурсов являются действия персонала. Прежде всего это некорректные настройки правил межсетевого экранирования самими сетевыми администраторами. Зачастую для того, чтобы не разбираться с тем, какие порты и протоколы использует то или иное приложение, администраторы разрешают большие диапазоны портов, в результате создавая крупные дыры в безопасности. Нередко в конце списка правил, после нескольких десятков запрещающих конкретные порты, можно встретить банальный permit any any. Для борьбы с ошибками в конфигурациях сетевого оборудования существуют специализированные приложения, такие как Tufin или Algosec, однако их используют немногие компании.

Кроме того, злоумышленник может попытаться перехватить учетные данные для доступа к администрированию межсетевым экраном, заразив машину администратора вредоносным приложением. Для борьбы с этим необходимо регулярно проводить проверку машины администратора на вирусы.

Также не стоит забывать о такой стандартной уязвимости, как использование заводских настроек и простых паролей для администрирования межсетевых экранов. Такая уязвимость широко распространена в сетях небольших организаций и филиалах, где нет постоянного системного администратора.

Думаю, мне удалось заставить читателя задуматься о том, насколько надежно межсетевые экраны защищают сеть его организации, а также о необходимости регулярных аудитов настроек сетевого оборудования.

Проблема становится еще более серьезной и важной, если межсетевой экран должен защищать особо критичные сегменты сети. Например, сегменты автоматизированных систем управления технологического управления, информационные системы, требующие доступности в режиме 24х7, банковские системы и другие.

Снимок1 2

В ряде случаев проблему компрометации межсетевых экранов позволит решить использование однонаправленных шлюзов, обеспечивающих гарантированную передачу данных только в одном направлении за счет гальванической развязки между интерфейсами входа и выхода. Тогда, даже если злоумышленнику каким-либо образом удастся захватить полный контроль над однонаправленным шлюзом, он не сможет проникнуть в защищаемый сегмент, так как не сможет получить никакого ответа.

На этом месте у читателя может возникнуть резонный вопрос: протокол транспортного уровня TCP, используемый большинством приложений в качестве транспорта, требует установления соединения, то есть двусторонней связи между узлами. Это обстоятельство является существенным ограничением при использовании устройств однонаправленной передачи данных. Далее мы поговорим о том, как можно решить эту проблему.

На практике существует ряд случаев, когда не требуется двустороннее взаимодействие. Самый простой случай, если из защищаемого сегмента необходимо получать пакеты, использующие в качестве транспорта протокол UDP. Например, система сбора событий собирает данные о событиях в защищаемом сегменте по протоколу Syslog. В таком случае односторонний шлюз позволит гарантировать отсутствие влияния извне на защищаемый сегмент. При этом мы сможем получать события по Syslog из защищаемой сети. Конечно, UDP не гарантирует доставку пакета, поэтому устройство однонаправленной передачи данных должно иметь высокую надежность и помехоустойчивость, для того чтобы пакеты не терялись и не искажались при передаче через них. О том, как это реализовывается на практике, мы поговорим чуть позже, а пока рассмотрим другие случаи применения.

В некоторых случаях в качестве транспорта используется протокол TCP. Например, когда необходим импорт данных в защищаемую сеть из внешних источников. Передача может осуществляться с помощью FTP или SMB. Классический случай – это необходимость загрузить обновления программного обеспечения или вирусных сигнатур для антивирусных систем в защищаемый сегмент. Аналогично зачастую необходимо обеспечить экспорт данных из защищаемого сегмента, например при выгрузке статистики, при этом делается акцент на гарантии целостности передаваемых данных.

Еще один вариант применения однонаправленных шлюзов – это одновременная выгрузка и загрузка данных. В этом случае обеспечивается двунаправленное взаимодействие между сегментами посредством однонаправленных шлюзов. По сути, один шлюз работает только на прием трафика в защищаемый сегмент, другой – только на отправку. Злоумышленнику в случае захвата одного шлюза придется вслепую пытаться получить доступ на второй однонаправленный шлюз, что практически невозможно. Таким образом, данный сценарий значительно превосходит по уровню защищенности традиционные схемы с межсетевым экраном на периметре.

Двунаправленное взаимодействие однонаправленных шлюзов может существенно повысить защищенность VPN-соединений между двумя площадками. В силу своей архитектуры однонаправленные шлюзы поддерживают передачу IPSec-трафика (ISAKMP, ESP), что в совокупности с использованием стойких криптоалгоритмов позволяет существенно увеличить защищенность сетей.

Рисунок 1. Взаимодействие между двумя площадками

Такая схема позволяет дополнительно защитить критичные сети от атак из внешней сети.

Развитием данного сценария является использование двунаправленных схем для изоляции критичных сегментов в корпоративной сети. Такая ситуация довольно распространена в промышленных сетях, когда в силу исторических причин часть промышленных систем или сегментов «размазана» по корпоративной ЛВС. Данный сценарий позволяет расширить границы критичного сегмента, создав защищенную информационную систему внутри другой информационной системы. Использование технологии IPSec и однонаправленных шлюзов позволяет достигнуть дополнительного уровня изоляции, а значит, и безопасности.

В контексте использования VPN также интересна схема с использованием однонаправленных шлюзов при работе с Remote Access VPN. Так, в ряде случаев необходимо обеспечивать защищенный удаленный доступ к критичным ресурсам компании как внутренним пользователям, так и партнерам, подрядчикам. Тогда создают изолированную демилитаризованную зону, куда выгружаются только допустимые для удаленных пользователей и подрядчиков/партнеров данные. При этом мы получаем гарантию от нарушения конфиденциальности и целостности критичных данных внутри информационной системы: исключается возможность доступа удаленных пользователей посредством VPN-соединений к внутренним ресурсам.

Вот наиболее типовые сценарии применения однонаправленных шлюзов. В свете выхода Федерального закона № 187 «О безопасности критической информационной инфраструктуры РФ» и проектов подзаконных актов потребность в устройствах однонаправленной передачи данных может возникнуть как у государственных предприятий, структур оборонно-промышленного комплекса, критически важных объектов, а также у коммерческих организаций, использующих закрытые сети.

TCP, но не весь

Теперь поговорим о том, какие протоколы прикладного уровня можно передавать через однонаправленные шлюзы и как это реализовывается. В силу однонаправленной природы мы не можем пробросить любой TCP-трафик через шлюз. Однако ряд прикладных протоколов можно передать с помощью технологии проксирования. По сути, с обеих сторон от однонаправленного шлюза мы устанавливаем прокси-серверы, которые и выступают получателями и отправителями трафика в зависимости от направления передачи. Так, если мы передаем трафик из критичной сети во внешнюю, то на прокси, находящемся в критичной сети, трафик терминируется. Далее он передается через однонаправленный шлюз с помощью оптических сигналов. Затем прокси-сервер, находящийся во внешней сети, принимает трафик и далее создает TCP-сессию уже от своего имени до узла назначения. В случае если трафик передается в критичный сегмент, происходит обратный процесс. Очевидно, что при использовании UDP прокси не требуются. Трафик прозрачно проходит через однонаправленный шлюз.

Большинство однонаправленных шлюзов поддерживают следующие протоколы: SMTP, FTP, CIFS, а также некоторые промышленные протоколы, такие как OPC и IEC 104. На работе с промышленными протоколами мы не будем заострять внимание, так как это тема отдельной статьи. А рассмотрим работу с более распространенными протоколами.

Почтовый протокол SMTP реализуется с помощью технологии релеев. Прокси-сервер выступает в качестве почтового релея, на который поступает почтовое сообщение. Далее оно передается через однонаправленный шлюз, и затем внешний прокси как релей передает письмо на сервер получателя.

Файловые протоколы FTP и CIFS передаются по несколько иному принципу. При копировании файла через устройство однонаправленной передачи файл сначала копируется на прокси. Далее он по частям передается на устройство. Для того чтобы сообщить, что переданная часть уже прошла через шлюз, устройство возвращает прокси-отправителю переданную часть. Прокси-сервер побайтово сравнивает часть переданного файла с тем, что ему «отразилось» от шлюза, и если фрагменты идентичны, то переходит к передаче следующей части файла. Прокси на внешней стороне собирает все куски файла и отправляет его получателю. Для предотвращения искажений при однонаправленной передаче (напомню, что передать что-либо отправителю мы не можем) используются многократная передача данных (дублирование) и кодирование с возможностью восстановления данных.

Рисунок 2. Передача файлов

На этом, полагаю, с теорией можно закончить. Надеюсь, мне удалось разъяснить читателю общие принципы работы однонаправленных шлюзов. Теперь перейдем к рассмотрению конкретных устройств. Ниже я привел описание наиболее распространенных решений данного класса, реально используемых на российских предприятиях.

АПК АМТ InfoDiode

a78e9d4b d735 43cc 9a15 c6e3393c18ab?t=1601297856878 3

Начнем с российского решения от компании «АМТ Груп». Аппаратно-программный комплекс InfoDiode [4] разработан на российской аппаратной платформе, российской сертифицированной операционной системе Astra Linux и программном обеспечении собственного производства.

Данный комплекс имеет классическую архитектуру с однонаправленным шлюзом и двумя прокси-серверами. При передаче UDP-трафика у производителя имеется аппаратный комплекс InfoDiode, состоящий только из однонаправленного шлюза, без прокси.

Основными характеристиками АПК InfoDiode являются следующие:

  • Производительность: 1000 Mbps (при необходимости возможно расширение производительности до 10 Gbps)
  • Возможность кластеризации: Есть
  • Поддерживаемые протоколы: FTP, CIFS, SMTP, ESP IPSec, UDP (все протоколы), OPC UA
  • Интерфейсы данных: Два 1000Base-SX
  • Форм-фактор: 3 rack unit (3 компоненты ПАК по 1 rack unit )
  • Возможность монтажа в 19» телекоммуникационный шкаф: Да
  • Питание: 100-240 В (AC)
  • Частота: 50-60 Гц (однофазный)
  • Рабочая температура воздуха: 10-35 C
  • Рабочая влажность воздуха: 5-95%

Отдельно хотелось бы сказать о наличии сертификатов на данный комплекс. АПК InfoDiode сертифицирован ФСТЭК России на соответствие требованиям технических условий и руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999) по четвертому уровню контроля. Сертификат соответствия № 3434. Это позволяет применять InfoDiode на предприятиях совершенно разных отраслей для защиты конфиденциальной информации (автоматизированные системы до класса 1Г, системы защиты персональных данных до первого уровня защищенности, государственные информационные системы до первого класса, а также системы АСУ ТП (КИИ) до первого класса включительно). В планах получение сертификатов ФСБ, Министерства обороны и отраслевых систем сертификации.

Secure Diode 

Программно-аппаратный комплекс Secure Diode [5] является российской разработкой и обеспечивает однонаправленный доступ к критическим сегментам сети. Данный шлюз можно использовать для безопасной передачи файлов из защищенной сети в сеть Интернет, обеспечения односторонней передачи электронной почты, трансляции видеопотока без риска деструктивного влияния на системы видеонаблюдения, безопасной выгрузки в защищенную сеть обновлений ОС и антивирусов и других задач, связанных с односторонней передачей данных.

Основной упор разработчики устройства постарались сделать на работе с промышленными протоколами, такими как МЭК 870-5-101 1, МЭК870-5-103 2, МЭК 870-5-104 3, МЭК 61850, ModbusRTU и другими. Также обеспечивается поддержка стандартных протоколов UDP (включая NTP), TCP (FTP, CIFS/SMB, SMTP, SNMP).

В реестре сертифицированных средств защиты ФСТЭК информации о наличии сертификатов на Secure Diode найти не удалось.

СТРОМ

strom file 4

Решение АПК СТРОМ от российского ООО «СиЭйЭн» [6] предназначено для гарантированной однонаправленной передачи информации из открытых сетей в сети, в которых циркулирует информация с грифом до «совершенно секретно» включительно, что подтверждается заключением ФСБ России. Данный комплекс предназначен для решения задач передачи потоковой информации и файлов. Передача потоковой информации представляет собой однонаправленную передачу данных с камер видеонаблюдения, телеметрии, передачи аудиопотоков и т.д.

Для передачи файлов, помимо однонаправленного шлюза, также необходимы два сервера с установленным специальным программным обеспечением, которое обеспечивает хранение, предоставление пользователям сетевых дисков и однонаправленную передачу файлов. В качестве операционных систем на данных серверах могут использоваться Linux 32/64 bit, Red Hat 64, Windows (от XP и выше), МСВС-3.0, МСВС-5.1

АПК СТРОМ имеет следующие характеристики:

  • Производительность: До 950 Mbps
  • Поддерживаемые протоколы: UDP, RTP, FTP
  • Интерфейсы:
    • Внешний: RJ-45, медь, витая пара, Ethernet 100/1000 BASE-T; SFP, Ethernet 1000BASE-X.
    • Внутренний: SС, многомодовая оптика, 850нм, 1000BASE-SX.
  • Форм-фактор: Два корпусных исполнения:
    • Исполнение 1: 1U в 19-дюймовую стойку (ВхШхГ 44х483х272).
    • Исполнение 2: корпус UniCase (ВхШхГ 50х180х240)
  • Возможность монтажа в 19» телекоммуникационный шкаф: Да
  • Питание: 100-240 В (AC)
  • Частота: 50-60 Гц (однофазный)
  • Рабочая температура воздуха: 10-35 C
  • Рабочая влажность воздуха: 5-95%

Для конфигурирования устройства используются SD-карты с текстовыми конфигурационными файлами. Это обстоятельство может создать дополнительные неудобства при конфигурировании и отладке комплекса. На этом мы завершим рассмотрение российских решений и перейдем к иностранным игрокам на российском рынке.

Waterfall Security Solutions

Семейство продуктов на базе единого технологического ядра Waterfall’s® Unidirectional Security Gateways [7]. В России данные шлюзы нашли применение на ряде объектов энергогенерирующего комплекса.

Архитектура этого комплекса имеет некоторые отличия от описываемых ранее решений с использованием прокси-серверов. Здесь вместо прокси используются агенты. Трафик из технологической сети поступает на агента, который может размещаться как на самом однонаправленном шлюзе, так и на отдельном сервере. При этом агентов можно устанавливать на серверы под управлением как Windows, так и Linux.

Помимо классического однонаправленного шлюза, у данного вендора имеется также решение Secure Bypass, представляющее собой однонаправленный шлюз, который в случае необходимости на аппаратном уровне может стать двунаправленным. Например, если необходимо срочное вмешательство в работу защищаемых систем из внешней сети службы техподдержки. В таком случае посредством нажатия на кнопку на самом устройстве оно превращается в двунаправленный шлюз. Отключение двунаправленного режима возможно как с помощью нажатия кнопки, так и по истечении определенного интервала.

Комплекс обеспечивает пропускную способность до 1 GBps, поддерживает кластеризацию. В реестре сертифицированных средств защиты ФСТЭК информации о наличии сертификатов на ПАК Waterfall Security Solutions найти не удалось.

Fox DataDiode

%D0%9F%D1%80%D0%B8%D0%BD%D1%86%D0%B8%D0%BF %D0%B2%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D1%8F Fox DataDiode 5

Еще одним иностранцем, в прошлом достаточно широко применявшимся на российских предприятиях, является решение Fox DataDiode от голландской компании Fox IT [8]. Комплекс помимо стандартных протоколов поддерживает также несколько промышленных с помощью специализированных приложений, называемых репликаторами. Данные репликаторы позволяют реализовать функционал, специфичный для промышленных сетей.

Основные технические характеристики данного комплекса следующие:

  • Производительность: До 1,25 Gbps
  • Возможность кластеризации: Есть
  • Интерфейс входящий: IEEE-802.3z Gigabit Ethernet (1000Base-SX)
  • Интерфейс исходящий: IEEE-802.3z Gigabit Ethernet (1000Base-SX)
  • Питание: 100-240 В (AC)
  • Частота: 50-60 Гц (однофазный)
  • Рабочая температура воздуха: 0-50 C
  • Рабочая влажность воздуха: 5-90%
  • Однако боюсь, что в современных сложных политических условиях о голландском шлюзе на российском рынке придется говорить преимущественно в прошедшем времени. Дело в том, что хотя данное решение имеет действующий сертификат ФСТЭК, однако при этом Fox DataDiode также имеет сертификат NATO Secret. А кроме того, в настоящее время компания ввела запрет на поставку данного решения в Россию.

На этом я завершаю описание решений по однонаправленной передаче данных. Эти решения имеют ряд ограничений в применении, однако в некоторых случаях они могут существенно увеличить защищенность критичных ресурсов. Понимая основные принципы работы однонаправленных шлюзов, а также требования регуляторов к средствам защиты, читатель сможет самостоятельно выбрать подходящее решение по однонаправленной защите данных.

Источник: http://samag.ru/archive/article/3579

Настройка безопасного VPN соединения

vpn 4062481  3401 6

VPN устанавливает безопасное, зашифрованное соединение между устройством и частным сервером, скрывая трафик от провайдера. Данная технология используется для посещения заблокированных веб-ресурсов, сокрытия своей онлайн-активности, повышения уровня безопасности и конфиденциальности в интернете.

 

VPN в Windows 10

VPN-соединения обрабатываются специальными программами, такими как ZenMate, Nord, или сторонними универсальными клиентами, такими как OpenVPN, Cisco AnyConnect. Некоторые браузеры предлагают встроенный бесплатный VPN-сервис (например, Opera).

Еще один вариант – это встроенный VPN-клиент Microsoft. Он будет полезен, когда некоторые сервисы не предоставляют свой собственный клиент или требуется протокол IKEv2. Настройка собственной виртуальной частной сети гарантирует, что подключенное к интернету устройство будет надежно защищено.

 

Недостатком встроенного клиента является то, что нужно самостоятельно выбрать конкретный сервер для использования, а не «прыгать» между различными местоположениями.

Выбор VPN

Для настройки соединения в Windows 10 достаточно найти приложение в Store или в интернете. При этом его желательно заранее изучить, включая отзывы, а затем уже делать выбор. Существует большое количество как бесплатных, так и платных сервисов, поэтому с поиском и выбором проблем не будет.

Настройка VPN-соединения

  1. Открыть параметры системы путем зажатия сочетания клавиш Win+I.
    5fadce059f30a27eeeb699f2 7
  2. Перейти в раздел «Сеть и интернет».
  3. Выбрать вкладку «VPN».
    5fadce0e9f30a27eeeb699f4 8
  4. Добавить новое подключение, кликнув по соответствующей кнопке.
    5fadce169f30a27eeeb699f6 9
  5. После выбора поставщика услуг («Windows») «Тип» изменится на «Автоматический», а вместо «Типа данных для входа» будет «Имя пользователя и пароль».
    5fadce239f30a27eeeb699f8 10
  6. В поле «Имя подключения» можно вписать любое имя.
  7. В поле «Имя или адрес сервера» указываются данные, которые пользователь получает после регистрации на сайте выбранного сервиса.
  8. Для выбора «Типа подключения» нужно знать, какой именно тип используется организацией или сервисом.
  9. В полях «Имя пользователя» и «Пароль» указываются регистрационные данные (если это корпоративная организация), которые впоследствии будут использоваться для подключения к защищенной сети.
  10. Для завершения настройки подключения кликнуть по кнопке «Сохранить».

Если в будущем потребуется изменить информацию о подключении или указать дополнительные данные, необходимо в параметрах системы выбрать соответствующий VPN и открыть его дополнительные параметры.
5fadce309f30a27eeeb699fa 11

Подключится к собственной виртуальной частной сети очень просто:

  1. В параметрах кликнуть левой кнопкой мышки по названию и нажать «Подключиться».
  2. Правой кнопкой мышки щелкнуть по иконке доступа в интернет (расположенной на панели задач) и выбрать нужное соединение.
    5fadce3a9f30a27eeeb699fc 12
  3. При необходимости ввести имя пользователя и пароль или другие данные.

Настройка VPN-соединения для OS Mac

Процедура похожа на настройку соединения на Windows 10. Необходимо выполнить следующие шаги:

  1. Открыть системные настройки и зайти в подраздел «Сеть».
    5fadce439f30a27eeeb699fe 13
  2. Создать новую службу, кликнув по иконке «+».
    5fadce519f30a27eeeb69a00 14
  3. На экране отобразится новое окно. Указать название подключения, выбрать его тип и протокол.
  4. Вписать адрес сервера и имя учетной записи.
    5fadce5c9f30a27eeeb69a02 15
  5. Настроить аутентификацию, клацнув по одноименной кнопке. Заполнить требуемые поля.
    5fadce689f30a27eeeb69a04 16
  6. Открыть дополнительные параметры. Отметить галочкой пункт, который подразумевает отправку трафика через созданное подключение.
    5fadce729f30a27eeeb69a06 17
  7. Применить настройки, сохранить изменения.

Можно подключаться к VPN обычным способом.

Настройка VPN-соединения для Android

Для подключения устройства на базе Android к виртуальной частной сети необходимо:

  1. Зайти в настройки, клацнув по иконке с шестерней.
  2. Из списка найти нужный раздел. Он может находиться в главном меню или в разделе «Сеть и интернет» – «Дополнительно», «Другие сети».
  3. Необходимо добавить новую сеть, нажав знак «+».
    5fadce7e9f30a27eeeb69a08 18
  4. Создать свой профиль: добавить имя, тип и адрес сервера. Сохранить внесенные изменения.
    5fadce8f9f30a27eeeb69a0a 19
  5. При выборе протокола L2TP/IPSec PSK появится еще несколько полей для заполнения. Также необходимо раскрыть дополнительные параметры.
    5fadce999f30a27eeeb69a0c 20
  6. Указать имя узла или IP-адрес из пула открытых серверов конкретного сервиса (это может быть идентификатор, заканчивающийся на opengw.net или набор цифр xxx.xxx.xxx.xxx).
  7. В поле «Маршруты пересылки» ввести 0.0.0.0/0.
  8. Вернувшись на главный экран VPN, в списке будет отображаться имя добавленной сети.
  9. Нажать на кнопку «Подключиться».

Важно! Процесс настройки может незначительно отличаться в зависимости от версии Android и модели устройства.

Настройка VPN-соединения для iOS

Для подключения iPhone/iPad к виртуальной частной сети необходимо:

  1. Из главного меню перейти в настройки.
  2. Найти среди разделов «VPN» (может располагаться в «Основных»).
  3. На странице настроек подключения указать тип «L2TP» и вписать название.
    5fadcea99f30a27eeeb69a0e 21
  4. Указать имя узла или IP-адрес из пула открытых серверов конкретного сервиса (идентификатор, заканчивающийся на opengw.net или набор цифр xxx.xxx.xxx.xxx). Добавить имя и пароль.
  5. Сохранить настройки и подключиться.

Важно! Процесс настройки может незначительно отличаться в зависимости от версии iOS и модели устройства.

Бесплатный или платный VPN?

Согласно результатам опроса американского издания PCMag, 62,9% пользователей не хотят платить больше 5 долл., а 47,1% предпочитает использовать бесплатный VPN. Но являются ли бесплатные сервисы такими же надежными, как и платные, и за какие услуги платит пользователь?
5fadceb29f30a27eeeb69a10 22

Цена

Самый главный пункт – цена. Бесплатные VPN подходят, если нет необходимости передавать слишком много личной и финансовой информации. Это отличный вариант для серфинга по заблокированным ресурсам.

Безопасность

Для запуска надежного протокола безопасности требуется развитая инфраструктура, которую большинство бесплатных сервисов не имеют. Они предоставляют 128-битную технологию шифрования и PPTP (является сегодня одним из наименее безопасных протоколов).

Платные пользователи обычно имеют больше возможностей, таких как 256-битное шифрование, OpenVPN (протокол с открытым исходным кодом, использующий шифрование SSL), протокол 2-уровня (L2TP) и комбинация IPsec.

Защита личных данных

Несмотря на то, что многие бесплатные сервисы обещают 100%-ную безопасность персональных данных, обычно это не так. Разработчики – не благотворительные организации, это бизнес-структуры, которые хотят финансировать в свою деятельность и получать прибыль. Поэтому всегда есть вероятность, что данные будут проданы третьей стороне.

В платных VPN, как правило, все наоборот: разработчики получают свой доход от подписки клиентов, поэтому не имеют причин продавать чужие данные. Они должны убедиться, что личные данные их клиентов находятся в безопасности и защищены от хакеров и других сторонних агентств.

Конфиденциальность

Если сервис говорит, что регистрирует активность пользователей, или вообще не указывает свою политику ведения журнала, лучше избегать его.

Рекомендуется проверить, где он юридически базируется. В случае с Панамой и Виргинскими островами трудно выяснить, кто на самом деле владеет или управляет компанией. Но, с другой стороны, недовольному сервисом пользователю может быть трудно вернуть свои деньги.

Качество обслуживания

Платные VPN более надежны и менее уязвимы к отключениям и сбоям, всегда больше шансов получить техническую поддержку.

Профессия системного администратора

1 1 23

Что представляет из себя профессия системного администратора

На сегодняшний день компании любых размеров, форм и секторов имеют компьютерные сети. Предприятия должны создавать и поддерживать надежную и безопасную компьютерную инфраструктуру для цифровых коммуникаций. Однако заставить все аппаратное и программное обеспечение работать вместе должным образом – это сложная задача. Вот почему компании нуждаются в квалифицированных администраторах с опытом и знаниями для управления их сложными компьютерными опциями.

Кто такой системный администратор?

Сисадмин – это IT-специалист, который обеспечивает  правильную установку и обновление корпоративных сетей. Мониторинг системы и устранение неполадок – это его основная миссия.

Системный администратор отвечает за ежедневное управление, техническое обслуживание и настройку компьютерных систем. Он подключает маршрутизаторы, модемы и брандмауэры для безопасного и высокоскоростного доступа в Интернет. Он форматирует сетевую интерфейсную плату (NIC) для отправки и получения данных соответствующим образом. То есть сисадмин управляет всеми важнейшими компонентами IT-инфраструктуры.

 

Также несет ответственность за формирование рекомендаций по IT-политике своей организации, консультирует топ-менеджеров по оптимизации компьютерных сетей и обучает других сотрудников, как получить доступ к сети и подключить устройства. Предлагает новое оборудование, ПО и обновления, чтобы поддерживать инфраструктуру в актуальном состоянии.

Системный администратор заботится об учетных записях пользователей, разрешениях, правах доступа и распределении хранилища. Он предлагает техподдержку и устраняет любые аппаратные и программные сбои, связанные с серверами и устройствами хранения данных. Специалист будет решать вопросы, связанные с работой приложений и серверов БД.

Обязанности сисадмина довольно обширные, зависят от специфики деятельности конкретного предприятия и могут включать:

  1. Установку, настройку и обслуживание серверов и сетей.
  2. Создание резервных копи и защиту данных при возникновении каких-либо проблем.
  3. Выполнение обновлений системы после выхода новых версий.
  4. Ведение внутренней документации через Wiki.
  5. Выполнение настройки учетной записи.
  6. Поддержку целостности сети, развертывание серверов и обеспечение безопасности.
  7. Обеспечение синхронизации настольных и мобильных устройств для обмена данными.
  8. Мониторинг и обслуживание сетевых серверов, таких как файловые серверы, VPN-шлюзы и системы обнаружения вторжений.
  9. Разработку локальных (LAN) и широкополосных сетей (WAN) для подключения компьютерных групп в цифровом виде.
  10. Обеспечение высокого уровня безопасности и эффективности.

 

1 2 24

Структура специализации

Сисадминам необязательно специализироваться на одной конкретной области, поскольку часто являются IT-специалистами широкого профиля. В любом случае они должны гарантировать одно – то, что все действия, связанные с компьютером, выполняются «гладко и эффективно».

Но решив стать сисадмином, рекомендуется сразу определиться, в каком направлении хочется развиваться. Можно сосредоточиться на различных сетях, таких как Wide Area Network (WAN), Local Area Network (LAN), а также на нескольких типах серверов (почтовые, файловые и т. д.).

 

Нет жестких требований к системным администраторам, но в целом специалист должен:

  1. Уметь устанавливать и поддерживать все версии ОС Windows/Linux/Mac.
  2. Уметь устанавливать и поддерживать серверное ПО.
  3. Знать распространенные программы (Microsoft Office, 1С и т.д.).
  4. Знать принципы работы сетевых протоколов, принципы построения компьютерных сетей.
  5. Знать аппаратную часть компьютеров и уметь диагностировать и устранять неполадки.
  6. Знать английский язык на уровне чтения технической документации.
  7. Уметь работать с удаленными пользователями.

Профессиональный сисадмин должен досконально разбираться в компьютерном и сетевом оборудовании, разнообразном программном обеспечении. Он должен следить за развитием компьютерных технологий и применять их на практике.

Постоянно обучаясь и развиваясь, можно пройти следующий карьерный путь:

  1. Стажер.
  2. Младший системный архитектор или администратор БД.
  3. Сисадмин.
  4. Старший сисадмин.
  5. Руководитель IT-отдела.
  6. IT-директор.

Средняя зарплата

Месячная средняя оплата труда варьируется от 18 000 до 200 000 руб. – это характерно для Москвы, Санкт-Петербурга и других крупных городов. При этом зависит от многих факторов, включая отрасль, в которой работает компания, квалификацию работника, наличие у него специальных сертификатов и т.д.

В регионах наблюдается более скромная ситуация с зарплатами – примерно на 20% меньше.

 

Согласно данным Ziprecruiter, в США профессионал может зарабатывать около 100 425 долл. в год.

1 3 25

Где востребован системный администратор?

Сисадмины могут быть наняты практически любой организацией, имеющей крупную IT-инфраструктуру. Специалисты работают в различных отраслях промышленности, в фирмах по проектированию компьютерных систем, в сфере образования (включая школы, колледжи и ВУЗы), в финансовых учреждениях (банки, инвестиционные брокерские конторы и страховые компании).

5fa53af69f30a27eeeb69974 26

Специалисты нужны больницам, правительственным учреждениям, огромным корпорациям, некоммерческим благотворительным организациям, телекоммуникационным компаниям и т.д., а также веб-порталам.

Системные администраторы работают полный рабочий день (от 40 до 60 часов в неделю). Некоторые из них находятся на вызове в нерабочее время, чтобы поддерживать работу сетей 24/7.

Специалист может быть приходящим, то есть временным, и на постоянной или разовой основе работать с несколькими заказчиками на договорных условиях.

Кому подходит?

Профессия подходит людям с математическим складом ума, которые при этом увлечены компьютерами и любят «копаться» в технике. Будет очень сложно работать, если человек не обладает способностью запоминать большие объемы информации, долгое время концентрироваться на мелочах, общаться с разными людьми по телефону и лично.

Сисадмин должен уметь управлять временем – только жесткое планирование спасет от сорванных дедлайнов по задачам.

 

Также есть несколько личностных качеств, которые присущи профессиональному специалисту:

  1. Усидчивость.
  2. Стрессоустойчивость.
  3. Многозадачность.
  4. Терпение и выдержка.
  5. Тактичность.
  6. Ответственность и упорность.

Если хочется расти в карьере, нужно постоянно развиваться, изучая новые технологии, и быть в курсе последних новостей.

Минимальные навыки и обучение с нуля

Не удастся стать профессионалом без банальных знаний: архитектура ПК, сервера, понимание принципов работы прикладного и служебного ПО, операционных систем.

Хотя это необязательно, многие работодатели предпочитают, чтобы кандидаты имели сертификаты, подтверждающие их компетентность в области компьютерных технологий. Стоит рассмотреть такие варианты, как:

  1. Microsoft Certified Solutions Expert (MCSE).
  2. Microsoft 365 Certified.
  3. Oracle Linux System Administrator (Oracle).
  4. Red Hat Certified Engineer (RHCE).
  5. CompTIA Server+.
  6. VMware Certified Professional 6- Data Center Virtualization.

В зависимости от профиля работы рекомендуется получить соответствующие сертификаты по операционным системам, безопасности, сетям и т.д. Это значительно прокачает скиллы.

5fa53b009f30a27eeeb69976 27

 

Необходимость хорошего знания английского языка зависит от специфики работы компании (например, если предоставляет услуги для зарубежных фирм). Начинающий специалист должен хотя бы понимать базовые команды и системные сообщения на английском. Но если есть желание развиваться в профессии, что подразумевает получение международных сертификатов и самостоятельное изучение передовых технологий, нужен уровень не ниже B2.

Несмотря на то, что многие сисадмины являются самоучками, желательно получить высшее техническое образование со специализацией в управлении информационными системами.

Что нужно, чтобы стать специалистом?

Ниже – стандартные шаги, которые следует предпринять, чтобы стать специалистом:

  1. Получить образование. Компании предпочитают, чтобы работник имел как минимум степень бакалавра в сфере компьютерных наук, информационных технологий или другой тесно связанной области.
  2. Определиться со специализацией. Хочется стать сисадмином Windows, сисадмином Linux или сетевым администратором?
  3. Получить сертификаты. Специальные сертификаты подтверждают квалификацию, и многие работодатели требуют хотя бы сертификацию начального уровня. Например, стоит рассмотреть возможность получения минимум трех основных сертификатов CompTIA: A+, Network+ и Security+. Таким образом специалист продемонстрирует работодателю свое желание расти и развиваться.
  4. Получить опыт. Для большинства работодателей важно, чтобы у потенциального сотрудника было как минимум два года опыта в области системного администрирования. Нужно начать со стажера или помощника IT-специалиста, прежде чем перейти на ступень выше. Многие онлайн-курсы предлагают стажировку по их завершении.
  5. Обновить резюме – как только будет необходимое образование, опыт и сертификаты.
  6. Подать заявки на вакансии. Нужно определить специализацию, для которой есть минимальная квалификация, и подавать заявки, используя обновленное резюме и сопроводительное письмо, которое подходит под каждую должность.